Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 011

Захват учётной записи (ATO)

ПроверилCybersecurity entrepreneur & security researcher

Что такое Захват учётной записи (ATO)?

Захват учётной записи (ATO)Атака, при которой злоумышленник получает несанкционированный контроль над легитимной учётной записью и использует её для кражи денег, данных или дальнейшего мошенничества.


Захват учётной записи происходит, когда атакующий получает действительные учётные данные, сессионные токены или каналы восстановления аккаунта жертвы и входит как этот пользователь. Типичные точки входа — фишинг, инфостилеры, credential stuffing с использованием утекших паролей, SIM-свопинг для перехвата SMS-кодов, злоупотребление согласиями OAuth и слабости процедур восстановления аккаунта. Внутри аккаунта преступники похищают данные, опустошают кошельки, перенаправляют выплаты, рассылают фишинг с доверенных адресов или развивают атаку в других системах.

Credential stuffing — наиболее индустриализированный путь. При взломе 23andMe в 2023 году атакующий на протяжении примерно пяти месяцев, начиная с апреля 2023 года, подставлял на странице входа пары «логин/пароль», утёкшие с никак не связанных сайтов. Напрямую было взломано лишь около 14 000 аккаунтов, но поскольку 23andMe не требовала MFA, а функция DNA Relatives раскрывала связанные профили, злоумышленник собрал генетические и генеалогические данные примерно 6,9 млн человек. Этот случай показывает, как повторное использование паролей в сочетании с отсутствием MFA превращает горстку скомпрометированных входов в массовую утечку данных, и почему так важно обнаружение длительных распределённых попыток входа.

Меры защиты: фишингоустойчивая MFA (FIDO2/passkeys), привязка к устройству, аналитика аномальных входов, повторная аутентификация для рискованных действий, проверка скомпрометированных паролей (в соответствии с NIST SP 800-63B), ограничение частоты запросов и обнаружение ботов на входе, а также быстрая инвалидизация сессий и токенов при обнаружении злоупотребления.

flowchart LR
  L[Утекшие учётные данные /<br/>фишинг / инфостилер] --> A[Атакующий]
  A --> B{Попытка входа}
  B -->|нет MFA| C[Аккаунт скомпрометирован]
  B -->|фишингоустойчивая MFA<br/>+ обнаружение аномалий| D[Заблокировано / step-up]
  C --> E[Кража данных, мошенничество,<br/>сбор связанных профилей]
  C --> F[Боковое перемещение /<br/>фишинг с доверенного аккаунта]
  D -.->|оценка риска| G[Инвалидизация сессии и токена]

Примеры

  1. 01

    Повторное использование утекших с другого сайта паролей для входа в банковский портал.

  2. 02

    Взлом 23andMe в 2023 году методом credential stuffing, раскрывший данные ~6,9 млн пользователей.

Частые вопросы

Что такое Захват учётной записи (ATO)?

Атака, при которой злоумышленник получает несанкционированный контроль над легитимной учётной записью и использует её для кражи денег, данных или дальнейшего мошенничества. Относится к категории Атаки и угрозы в кибербезопасности.

Что означает Захват учётной записи (ATO)?

Атака, при которой злоумышленник получает несанкционированный контроль над легитимной учётной записью и использует её для кражи денег, данных или дальнейшего мошенничества.

Как защититься от Захват учётной записи (ATO)?

Защита от Захват учётной записи (ATO) обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия Захват учётной записи (ATO)?

Распространённые альтернативные названия: ATO, Компрометация учётной записи.

Связанные термины

См. также